רישום הפרוססים / תוכניות שרצו על המחשב

[yossik111]

רישום הפרוססים / תוכניות שרצו על המחשב

שלום לכולם !
האם מתבצע רישום (קבוע) היכן שהוא במערכת (סנטוס) של הפרוססים / תוכניות שרצו על המחשב ?
אנסה למקד את השאלה : אני מעוניין להריץ פקודות ו תוכניות בעזרת ssh ו key files על תחנת סנטוס מרוחקת (מתחנת סנטוס גם היא ) מקומית .
פקודת ps aux לדוגמא תיתן לי את התוכניות /התהליכים שרצים כרגע וכ'ו , עד כאן בסדר , האם מתבצע רישום היכן שהוא ("היסוריה") של התוכניות / תהליכים הנ"ל כך שלאחר ריסטרט של המערכת ניתן לשחזר את ההיסטוריה הנ"ל ?
אני מעוניין כאמור להפעיל תוכניות מרחוק על מכונת סנטוס כך שלא ניתן יהיה לדעת מה הרצתי .
באותו ענין , מה מכילה הספרייה /proc ? האם יש מצב שהיא מכילה את המידע הנ"ל ?
בתודה מראש לעונים .
יוס.

 

[Dניאל Mור]

נסיון לעזור

היי,

לגבי שאלתך הראשונה: במידה ותרצה ליישם את הסיפור הזה (דהיינו, לשמור את המידע של מה רץ מתי) חפש מידע הל המושג "process accounting" בהקשר של Linux.

לגבי שאלתך השנייה: תיקיית /proc/ היא תיקייה מדהימה שמכילה מידע רב וענייני (חלקו RO, חלקו RW). כאשר אתה נכנס לתיקייה זו, אתה תראה תתי-תיקיות עם מספרים. המספרים הללו מייצגים PID של תהליכים. עשה את הניסוי הבא: הרץ תהליך ורשום את ה - PID שלו. בדוק האם תיקיית תחת /proc/ נוצרה עבור אותו ה - PID (התשובה צריכה להיות חיובית), לאחר מכן, סגור את התהליך ובדוק האם התיקייה עדיין קיימת. מה יצא?

בהצלחה רבה.

+דניאל.

 

[Dניאל Mור]

סליחה על השגיאות פה ושם

ובאופן כללי, ממליץ בחום לקרוא ולהעמיק את הידע לגבי /proc/ ועל ה - /proc/sys/. לגלות מה - RO, מה RW והאם הנתונים בתיקיות אלו "באמת נשמרים"

+דניאל.

 

[yossik111]

אגב בקטנה

לפני שאני נכנס לניסוי שאתה מציע והרמז שאתה רומז (לפי הבנתי (לגבי ה rw/ro) ) אזי באמת השיטה שחשבתי עליה היא הפיכת הספרייה / ספריות שבה מתבצע הרישום הנ"ל ל RO
אך שתי דברים
1) לא יודע מהם הספריות / ספרייה הנ"ל
2) איך אני מוחק היסורייה כנ"ל שנרשמה עד היום
יוס.

 

[yossik111]

ההיפך יקירי , ההיפך

אני רוצה למנוע בכול מאודי רישום של התהליכים כנ"ל (שוב , אני מעוניין שלא יהיה ניתן לשחזר בכול מקרה , איזה תוכניות הרצתי מרחוק על התחנה הנשלטת )
האם ניתן איכשהוא ?
(בלי קשר אבדוק את הנסיון שאתה מציע )
יוס.

 

[Dניאל Mור]

בעוד תשובתי הייתה תשובה

עם כיוונים למטרת לימוד עצמי, אני חושב שלא הובנתי כהלכה.

"/proc/" הינה "תיקייה" דינאמית שלא באמת קיימת על הכונן הקשיח שלך. התיקייה "נמחקת" בכיבוי המחשב ו"נוצרת" בעת עליית מערכת ההפעלה. המידע בתיקייה זו הוא בעיקרו RO מבחינתך, כמנהל המערכת. יוצאת דופן הינה תיקיית /proc/sys/ שגם היא דינאמית באותו המובן, א-ב-ל, בתיקייה זו, ניתן לשנות הגדרות ברמת ה - Kernel בזמן אמת (לדוגמא, ע"י הפקודה sysctl) ולדאוג שהשינויים הנ"ל "יחזיקו" מעמד לאחר אתחול בעזרת שימוש בקובץ etc/sysctl.conf/. דוגמא טובה להתעסקות בתיקייה זו (שאני חיי ביומיום דרך אגב), קשורה ל - Performance Tuning של המערכת.

לגבי שאלתך: אני יודע שהסברתי לך איך ליישם למרות ששאלת אין לוודא שלא

הרעיון היה לשלוח אותך אל הדרך עם כיווני חקירה נוספים. בכל מקרה, שירותי Audit לאיזה פרוססים רצו בפן ההיסטורי *בדרך-כלל* לא מוגדרים כברירת מחדל, אך לך תדע מה קורה אצלך או מה עשה הבחור\ה שהיו שם לפניך

שאתה רוצה להשיג את מה שאתה מבקש, חשוב על הכל, לדוגמא, גם על לוגים. אולי אין משהו מסודר שמראה מי הריץ מה מתי, א-ב-ל, לעיתים, מהסתכלות על log מסויים או קובץ מסויים (לדוגמא, קובץ history), אפשר לנחש מה קרה בעבר.

מקווה שעכשיו אני מובן יותר. לא רציתי לבלבל רק לעזור כמה שיותר

בהצלחה.

+דניאל.

 

[yossik111]

מובן וחצי יקירי

עזרת לי מאד במידע / והתובנות הנ" ל
שאלה (שהיא בעצם "by product" ) של הדיון הנוכחי
במצב עבודה רגיל ("פרודקשן" אם תרצה לעומת מוד עבודה "מעבדה" ) כלומר במצב עבודה שכול האפלקציות כבר מותקנות ורצות וכ'ו , האם ספריית /etc / אמורה להשתנות ?
אני יודע שזו שאלה עם ניואנסים (לדוגמא איזה סוג של אפלקציות מותקנות וכ'ו) אם כך אנסה לפשט , נניח מכונה שרצים עליה אפלקציות טרויאליות כמו web-server , mysql , php ,squid , במצב הזה האם /etc/ אמור להשתנות ?
אתקרצץ יותר , איזה ספריות חוץ מה /var/ והספריות הזמניות ( /tmp ו ה /proc כאמור) אמורות להשתנות ?(שוב נניח במערכת שרצים עליה אפלקציות טרוויאליות כאמור (web-server , mysql , php ,squid )
יוס.

 

[yossik111]

על מערכת סנטוס כאמור

 

[דורון אופק]

כן

 

[yossik111]

תודה ראשית , מקומות (ספריות) מוגדרים ?

או זה תלוי אפלקציות ?
אם התשובה מורכבת , אזי חיפוש קבצים על פי תאריך שינוי , יכול לעזור (מן הסתאם

) ?
יוס.

 

[דורון אופק]

יש גם השתנות של קבצי קונפ'

של אפליקציות ... אבל גם קובצי מערכת .
דבר שיכול לקרוא בכל איתחול, סליחה, דבר שקורא בכל איתחול.

אולי פשוט תגיד מה אתה חושב לעשות ? או שזה סתם לידע כללי ?

דורון

 

[yossik111]

בבקשה רבה

מטרתי למנוע (ככול הניתן כמובן) השתלה של קוד זדוני שמאותחל עם עליית המערכת (המרוחקת) .
אני מתכוון לעשות זאת ע"י בדיקת שינוי הקבצים שמעורבים באיתחול המערכת .
אשמח לתובנות / טיפים בענין .
בתודה מראש !
יוס.

 

[mavor]

יש המון דרכים

אתה צריך להסתקל על "audit" יש המון מנגנונים לינוקס לבצעה את זה בכול מיני רמות (רמות קרנל ומישתמש)
1) ברמת הקרנל באמצעות SELINUX מוסיפים audit=1 לגרב
2) שימוש ב auditd (שרות מערכת) יותר יעיל למצבים של מי שינה מה ומתי
3) Lynis שזה כלי יותר בשביל סריקה של קוד זדוני \ בעיות במערכת די נחמד

אישית אני משתמש בשילוב של לפחות 2 על שרתי PROD שלי

 

[yossik111]

אבדוק את מה שאתה מציע

תודה בשנית !
יוס.

 

[Dניאל Mור]

בנוסף לעצות המצויינות

בדוק גם את הכלי AIDE. פשוט מאד לשימוש ובהחלט יכול להיות רלוונטי בהקשר לרצונך.

בהצלחה רבה.

+דניאל.

 

[yossik111]

אכן יכול להיות רלוונטי

אני בודק ישימות לגבי .
תודה !!!
יוס.

 

[yossik111]

לשמחתי הניסוי "הצליח" כלומר

על פניו לא נשארו רישומים (לפחות בענין ה PID הנ"ל) ב /proc/
מקווה שאכן כך , ולא נשארים רישומים
תודה בכול מקרה
יוס.